Sendmail remote root
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Úterý Březen 4 17:01:15 CET 2003
Jan Kasprzak wrote:
> Ja jsem si zrovna tuhle cast cetl - bylo to nalezeno pri auditu
> kodu, a to v miste, kde sendmail dela spoustu kontrol jestli se mu nekdo
> nesnazi podstrcit adresu kterou by nerozparsoval. A jedna z tech kontrol
> nefungovala. Aniz bych chtel nejak prilevat oleje do ohne, myslim ze tohle
> vypovida mnohe o vlastnostech sendmailu. Toto proste neni "secure by design".
> Proste se to "nejak" navrhne a naprogramuje, a pak se dodaji kontroly
> ktere maji udrzet system v normalu, a nejak se veri, ze ty kontroly
> fakt funguji.
Na tom se shodneme, bohuzel jak vsichni moc dobre vime, jsme jen
chybujici tvorove, "secure by design" v realnych systemech veru moc
neresi (ktery system/vytvor 'nema' maslo na hlave aspon v poslednich 2-3
letech?), ac v principu 'muze' pomahat...
Ale k veci (opravdu vecne) - neni to zase tak davno, co jsem cetl, ze
sendmail kolem verze 8.9. (?) byl z velke casti prepsan prave s ohleden
na secure by design... - zrovna to na www.sendmail.org hledam, ale
nenachazim, ac jsem presvedcen, ze zdroj teto informace byl presne zde...
Muze to nekdo potvrdit ci vyvratit?
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux